
EDPB přijal k veřejné konzultaci pokyny ke zpracování osobních údajů pro vědecký výzkum
EDPB v dubnu 2026 přijal k veřejné konzultaci Pokyny 1/2026 ke zpracování osobních údajů pro vědecký výzkum. Veřejná konzultace probíhala od 16. dubna do 25. června 2026 a finální znění pokynů bude možné očekávat až po vypořádání připomínek. Pokyny se zabývají mimo jiné vymezením pojmu vědeckého výzkumu a slučitelností dalšího zpracování osobních údajů pro výzkumné účely. Dále řeší volbu vhodného právního základu a požadavky na souhlas se zpracováním osobních údajů ve výzkumném kontextu. Věnují se také rozdělení rolí mezi správci a zpracovateli, výkonu práv subjektů údajů a vhodným ochranným opatřením. Mezi tato opatření patří zejména anonymizace a pseudonymizace.
EDPB přijal k veřejné konzultaci vzor pro posouzení vlivu na ochranu osobních údajů
EDPB dne 14. dubna 2026 přijal k veřejné konzultaci vzor pro posouzení vlivu na ochranu osobních údajů, tzv. DPIA Template. Vzor není povinný. Má však přispět ke sjednocení a lepšímu strukturování DPIA napříč EU. Po vypořádání konzultace by měl sloužit jako základní vzor, se kterým budou národní vzory dozorových úřadů slučitelné. Veřejná konzultace probíhala do 9. června 2026.
EDPB přijal k veřejné konzultaci společný vzor pro hlášení porušení zabezpečení osobních údajů
EDPB dne 10. června 2026 přijal k veřejné konzultaci společný vzor pro hlášení porušení zabezpečení osobních údajů podle čl. 33 GDPR. Cílem je sjednotit a zjednodušit oznamování bezpečnostních incidentů dozorovým úřadům napříč EU. Vzor obsahuje předem připravené možnosti a vysvětlení k jeho vyplnění. Veřejná konzultace probíhá do 5. srpna 2026.
ÚOOÚ a biometrická identifikace na stadionech: bezpečnostní účel sám o sobě nestačí
Úřad pro ochranu osobních údajů (ÚOOÚ) dne 20. května 2026 zveřejnil stanovisko k využívání kamerových systémů s prvky biometrické identifikace na fotbalových stadionech. Řešenou situací bylo použití technologií, které by umožňovaly identifikovat nežádoucí osoby a zabránit jim ve vstupu na stadion. ÚOOÚ v této souvislosti rozlišil mezi běžným kamerovým záznamem, který se posuzuje podle čl. 6 GDPR, a biometrickou identifikací, při níž dochází ke zpracování zvláštní kategorie osobních údajů podle čl. 9 GDPR.
Hlavním závěrem ÚOOÚ je, že pro nasazení biometrické identifikace nestačí obecný odkaz na bezpečnost, ochranu majetku nebo prevenci protiprávního jednání. Takové zpracování vyžaduje odpovídající zákonný základ podle čl. 9 odst. 2 GDPR. Tento základ musí být dostatečně konkrétní, přiměřený sledovanému cíli a musí obsahovat záruky na ochranu práv dotčených osob.
SDEU k použití důkazů získaných v rozporu s GDPR
SDEU se v rozsudku ze dne 18. června 2026 ve věci C-84/24, NTH Haustechnik, zabýval otázkou, zda může vnitrostátní soud v civilním, resp. pracovněprávním řízení použít důkaz obsahující osobní údaje, pokud tyto údaje mohly být jednou ze stran získány protiprávně. Spor se týkal bývalé zaměstnankyně, vůči níž zaměstnavatel uplatňoval nárok na náhradu škody v souvislosti s údajným prodejem firemního majetku přes soukromý účet na platformě eBay. Zaměstnavatel informace získal přístupem k jejímu soukromému účtu, přičemž předkládající soud nevyloučil, že získání údajů mohlo být v rozporu s GDPR.
SDEU dovodil, že GDPR samo o sobě nebrání vnitrostátnímu soudu použít důkaz obsahující osobní údaje jen proto, že údaje byly dříve získány v rozporu s právem na soukromí nebo ochranou osobních údajů. Neplatí tedy automatický zákaz použití takového důkazu. Soud však musí mít pro zpracování údajů vlastní právní základ a musí dodržet zásadu minimalizace údajů. Před zpřístupněním údajů účastníkům nebo třetím osobám musí ověřit, zda jsou údaje omezeny na to, co je nezbytné, a případně přijmout opatření ke snížení zásahu do práv dotčených osob, například anonymizaci nebo pseudonymizaci. SDEU zároveň zdůraznil, že čl. 17 odst. 3 písm. e) GDPR, tedy výjimka z práva na výmaz pro uplatnění právních nároků, není samostatným právním základem pro zpracování osobních údajů.
Návrhy změn GDPR v rámci Digital Omnibus
Na rozdíl od části Digital Omnibus zaměřené na AI Act, kterou se zabýváme níže, a která již čeká na zveřejnění v Úředním věstníku EU, změny týkající se GDPR zatím přijaty nebyly. Jde stále o legislativní návrh Evropské komise, který je projednáván v řádném legislativním postupu pod číslem 2025/0360(COD).
Digital Omnibus se GDPR významně dotýká. Návrh Evropské komise počítá s cílenými změnami, které mají zjednodušit plnění některých povinností v oblasti ochrany osobních údajů a lépe je sladit s další digitální regulací. Týká se to zejména vymezení osobních údajů a pseudonymizovaných dat, využívání osobních údajů při vývoji a provozu AI systémů, pravidel pro cookies, posuzování vlivu na ochranu osobních údajů a hlášení porušení zabezpečení osobních údajů. U incidentů návrh směřuje zejména ke zvýšení prahu pro oznamování dozorovým úřadům pouze na případy pravděpodobně spojené s vysokým rizikem a k prodloužení oznamovací lhůty ze 72 na 96 hodin.
Z pohledu ochrany osobních údajů je však návrh kontroverzní. EDPB a EDPS sice podporují zjednodušení administrativní zátěže a větší harmonizaci, zároveň ale důrazně kritizují zejména navrhované změny definice osobních údajů a režimu pseudonymizace. Podle EDPB a EDPS by tyto změny mohly nepřiměřeně zúžit věcnou působnost GDPR a oslabit úroveň ochrany subjektů údajů. V této fázi proto nejde o účinnou změnu pravidel, ale o legislativní návrh, jehož další vývoj bude vhodné sledovat zejména u projektů zahrnujících AI, data sharing, anonymizaci/pseudonymizaci, cookies a incident reporting.
Celý letní Digital Legal Update 2026 je k přečtení zde.